一、关于DVWA的搭建及报错问题:
上面链接主要解决安装DVWA报错的问题,这里防止自己再去找,所以记一下。
(1)安装DVWA需要一个web环境,我实在win2003系统(xss_upload虚拟机)里安装的。
web环境是phpstudy2018(也可用wamp,有一个即可)
将DVWA解压好以后打开config目录然后将下图文件后缀的dist去掉。(建议复制一个备份)
(2)将文件中password的值改为root
(3)将安全等级改为low
(4)可能还需要激活的密钥对可以从网上找。
(5)全部改完后重启web环境的apache和mysql服务,点create/reset数据库按钮。如果出现登录
界面那就是成功了,如果还报错请点击上面的传送门。
(6)出现登录界面后输入账号密码:
admin
password
(7)FINSH!
(ps:以上。防止自己忘了这样还能翻博客找到如何操作。)
二、关于DVWA的初步介绍:
Web应用程序(DVWA)是一个很容易受到攻击的PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程,并帮助学生和教师了解受控类中的Web应用程序安全性房间环境。
DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,具有各种难度。请注意,此软件存在记录和未记录的漏洞。
10个模块:
Brute Force(暴力破解)
Command Injection(命令行注入)
CSRF(跨站请求伪造)
File Inclusion(文件包含)
File Upload(文件上传)
Insecure CAPTCHA (不安全的验证码)
SQL Injection(SQL注入)
SQL Injection(Blind)(SQL盲注)
XSS(Reflected)(反射型跨站脚本)
XSS(Stored)(存储型跨站脚本)
同时每个模块的代码都有4种安全等级:Low、Medium、High、Impossible。通过从低难度到高难度的测试并参考代码变化可帮助学习者更快的理解漏洞的原理。
三、关于暴力破解模块:
这里还需要用到一个软件:burp suit professional
关于全等级暴力破解会在下一篇随笔里写到
传送门3:DVWA Brute Force(全等级暴力破解)